Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
СУБД Oracle / Лекции / Лек_ORAC / LCD / Управление доступом к Базам Данных.doc
Скачиваний:
50
Добавлен:
16.04.2013
Размер:
93.18 Кб
Скачать

Управление доступом к базам данных

В любой многопользовательской компьютерной системе обеспечение безопасности является крайне важной задачей. Системы баз данных Oracle– не исключение. При отсутствии надлежащего управления безопасностью системы нарушители могут проникнуть в базу данныхOracle, просмотреть конфиденциальную информацию и внести несанкционированные изменения в хранимые данные. В этой главе анализируются разнообразные средстваOracle, которые позволяют управлять доступом пользователей к ресурсам баз данных:

  • Управление работой пользователей и аутентификация

  • Управление привилегиями и ролями

  • Ограничение использования ресурсов баз данных

  • Работа с паролями пользователей

  • Аудит баз данных

Управление работой пользователей

Первой линией защиты от нежелательного проникновения в базы данных является управление доступом к системе. Чтобы пользователь мог соединиться с базой данных Oracle, он должен иметь в ней имя (username). Создавать имена пользователей можно при помощи SQL-командыCREATEUSER.

Аутентификация пользователей

Необходимо точно указать, как Oracleследует опознавать (аутентифи­цировать) использование новых учетных сведений (account) для каждого пользователя базы данных. Когда кто-то пытается соединиться с базой данных при помощи некоторого имени пользователя,Oracleопределяет, имеет ли право человек, употребивший данное имя, использовать эти учетные сведения. Опознавать пользователейOracleможет тремя различными способами: по паролю, а также применяя аутентификацию операционной системы и аутентификацию глобального имени пользователя.

Аутентификация по паролю

Oracleможет опознавать имя пользователя по паролю (password). Когда пользователь запускает приложение, оно требует ввести имя и соответствующий этому имени пароль. ЗатемOracleпроверяет подлинность запроса на соединение с помощью информации, содержащейся в учетных сведениях пользователя, которые управляются базой данных. Аутентификация по паролю распространена в системах клиент/серверOracle, когда пользователи соединяются с сервером баз данныхOracleпри помощи клиентскихPCилиNC.

Когда применяется аутентификации по паролю, рекомендуется использовать достаточно сложные пароли, а также следить за тем, чтобы пользователи периодически их изменяли. Более подробно о работе с паролями рассказано в разделе "Работа с учетными сведениями пользователей" данной главы.

Аутентификация операционной системы

Oracleможет опознавать имя пользователя при помощи операционной системы того компьютера, на котором работает сервер баз данных. При запуске приложения оно не запрашивает у пользователя информацию о соединении. Вместо этого приложение передаетOracleучетные сведения пользователя, предоставляемые операционной системой. ЗатемOracleпроверяет подлинность запроса на соединение, убеждаясь в том, что пользователь операционной системы зарегистрирован в базе данных. Аутентификация операционной системы распространена в тех средахOracle, которые ориентированы на использование хост-машин, когда пользователи соединяются сOracleпри помощи терминалов, непосредственно соединенных с сервером баз данных.

Аутентификация глобального имени пользователя

Oracleможет опознавать глобальное имя пользователя (globalusername) при помощи внешнего сетевого сервиса. Когда пользователь запускает приложение и запрашивает соединение,Oracleпроверяет подлинность запроса с помощью информации о пользователе, управляемой внешним сервисом защиты. ВOracle8 имеется собственный сервис защиты,OracleSecurityServer, который можно применять для работы с глобальными пользователями баз данных. Аутентификация глобального имени пользователя распространена и тех сетевых средах, где требуется доступ к нескольким базам данныхOracle, а сеть не всегда достаточно защищена.

Тут вы можете оставить комментарий к выбранному абзацу или сообщить об ошибке.

Оставленные комментарии видны всем.